| 16 марта 2017 г. — 4:06 утра по тихоокеанскому времени
Исследователи безопасности, участвующие в ежегодной конференции Pwn2own, вчера обнаружили две уязвимости нулевого дня в Safari. Две команды успешно использовали найденные ими ошибки для получения root-доступа к macOS, в то время как третья попытка провалилась.
Одиннадцать команд соревнуются за общий призовой фонд в 1 миллион долларов, при этом три из десяти представленных на данный момент попыток нацелены на Safari…
Chaitin Security Research Lab объединила эксплойт, который использовал шесть отдельных ошибок для повышения их доступа до root на macOS, выиграв приз в 35 000 долларов.
Сэмюэл Гросс и Никлас Баумстарк выиграли 28 000 долларов за использование пяти ошибок для отображения сообщения на Touch Bar MacBook Pro 2016 года.
Полные сведения об обоих эксплойтах будут предоставлены Apple, чтобы ошибки можно было исправить до их публичного раскрытия.
Конференция и соревнование продолжаются сегодня, хотя цели еще не объявлены.
Safari регулярно становится целью в этом соревновании, самым позорным успехом был в 2011 году против Safari 5.0.4. Французская компания по безопасности Vupen потратила всего пять секунд на использование уязвимости в браузере для получения root-доступа к MacBook Air, выиграв устройство как часть своего приза. В 2014 году одна команда успешно использовала две ошибки Safari в версии для iOS, чтобы взять под контроль iPhone 5s, в то время как другая получила root-доступ на Mac, отметив, что безопасность OS X лучше, чем у других платформ.